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(§4) CONTROLE D'ACCES DE SUJETS A DES OBJETS NOTAMMENT DANS UNE CARTE A 
MICROCONTROLEUR. 



(57) L'invention concerne a la fois des listes de controles 
d'acces de sujets a des objets et des capacites d'actrons de 
chaque sujet a un objet donne. Par exemple les sujets et les 
objets sont des utilisateurs et des applications dans une car- 
te a puce. Des indicateurs (BAk, Blk) sont enregistres dans 
ia carte. Chaque indicateur a un premier etat pour autoriser/ 
interdire I'acces de sujets a un objet et un deuxieme etat 
pour ne pas autoriser/ ne pas interdire I'acces des sujets 
aux objets. L'invention introduit ainsi des droits d'acces ne- 
gatlfs dans les listes de controle d'acces et les capacites. 
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Controle d'acces de sujets a des objets notamment 
dans tine carte a microcontroleur 

La presente invention concerne d T une maniere 
5 generale le controle d'acces de premiers elements, 
tels que des sujets constituant des "utilisateurs" 
d'un moyen de traitement de donnees ou bien des 
modules logiciels dans ce moyen de traitement de 
donnees, & des objets tels que des applications 

10 implementees dans le moyen de traitement de donnees. 

Plus particulierement, 1' invention est relative au 
controle d'acces a des applications implementees dans 
une carte a puce, dite egalement carte a 
microcontroleur ou a circuit int^gre, qui comporte 

15 plusieurs applications, proposant divers services a 
des utilisateurs, tels que des applications de 
commerce electronique, porte-monnaie electronique, 
services de fidelite, etc. 

20 Du point de vue de la securite, la coexistence 

et la cooperation de plusieurs applications au sein 
d'une meme carte a puce souleve de nombreux 
problemes. En particulier, chaque application possede 
ses propres donnees pour lesquelles ses propres 

25 droits d'acces sont definis. Ainsi, il est essentiel 
au sein de la carte a puce de mettre en oeuvre des 
moyens de securite pour controler l'acces aux donnees 
des applications depuis des acces externes, par 
exemple par les utilisateurs de la carte qui peuvent 

30 etre des modules logiciels cornme des interfaces 
d'usagers, mais egalement depuis des acces internes, 
par exemple par 1 1 intermediaire d'autres applications 
ou d ! elements logiciels d 1 application dans la carte. 

Dans ce cadre du controle d'acces 

35 discretionnaire, les sujets, tels que des 
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utilisateurs, sont des elements "actifs" qui 
manipulent des informations contenues dans des 
objets, tels que des applications, qui sont des 
elements "passifs" contenant des donnees. Les sujets 
5 ont leurs acces conditionnes par des droits d'acces 
sous la forme de regies de controle d'acces entre les 
sujets et les objets. Les sujets peuvent avoir la 
capacite de passer leurs droits d'acces a d'autres 
sujets, et pour chaque acces, les regies de controle 

10 doivent autoriser ou s'abstenir d'autoriser l 1 acces a 
des sujets determines. 

L'etat des autorisations d'acces a des objets 
dans un rnoyen de traitement de donnees, tel que la 
carte a puce, est exprime generalement par une 

15 matrice d'acces MA dont les lignes correspondent a 
des sujets et dont les colonnes correspondent a des 
objets, comme montre a la figure 1. Par exemple, la 
matrice MA est relative a trois sujets SI, S2 et S3, 
tels que trois utilisateurs, et a quatre objets, tels 

20 que trois fichiers Fl, F2 et F3 et un programme PI. 

Chaque case de la matrice a 1 1 intersection d'une 
ligne et d'une colonne contient des droits 
definissant des actions privilegiees qui peuvent etre 
accomplies par le sujet respectif sur l'objet 

25 respectif. Par exemple, ces actions peuvent etre 
1 1 enregistrement d'un fichier ou -d'un programme, ou 
bien la lecture ou I'ecriture d'un fichier, ou bien 
la lecture, I'ecriture ou 1 ! execution d'un programme. 
Deux approches sont mises en oeuvre pour regir 

30 la matrice de controle d'acces. 

La premiere approche consiste a memoriser des 
indicateurs d'acces constitues par les droits d'acces 
colonne par colonne de la matrice de controle d'acces 
afin de constituer des listes de controle d'acces ACL 

35 (Access Control List) specif iant chacune les droits 
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d'acces de sujets a l'objet associe a la colonne. A 
titre d'exemple, dans une carte a puce multi- 
applicative du type WINDOWS (marque enregistree) , des 
listes de controle d'acces ACL accordent des acces en 
5 lecture et/ou en ecriture a des sujets, tels que des 
utilisateurs de la carte, sur des objets, tels que 
des fichiers, mais egalement permettent d'interdire 
I 1 acces par tous les sujets a un fichier constituant 
un objet. 

10 Pour ce qui concerne chaque liste de controle 

d'accds ACL dans la matrice d'acces montree a la 
figure 1, chaque sujet de la liste est authentifie et 
la liste des droits d'acces est analysee. La 
revocation et la revision des droits d'acces sont 

15 facilement executees pour coder des listes de droit 
d 1 acces . 

La deuxieme approche consiste a exprimer par des 
capacites regroupant des indicateurs d'acces 
correspondant a des droits d'acces ligne par ligne de 

20 la matrice de controle d'acces afin de definir pour 
chaque sujet les droits d'acces qu'il possede sur des 
objets. Par exemple, le controle d'acces porte sur 
des methodes d' applets pour cartes a puce multi- 
applicatives de type JavaCard dans lesquelles des 

25 programmes ont ete ecrits en langage Java. Les 
capacites correspondent a des pointeurs effectuant 
des appels pour acceder a des methodes constituant 
des objets, dans des applets predetermines 
constituant des sujets. 

30 En ce qui concerne les capacites d'acces, 

chacune peut etre exprimee par des couples 
d 1 indicateurs comprenant le nom d'un objet et d'un 
ensemble de privileges ou droits. Cette capacite 
ainsi definie est memorisee dans la carte. Une telle 
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capacite est completement transferable d f un sujet a 
un autre. 

Ainsi, actuellement, les droits d'acces sont 
5 tou jours exprimes sous une forme positive. Tout droit 
d'acces non autorise ne peut pas etre exprime pour 
un sujet particulier et ne peut pas etre deduit de 
son absence dans une liste de droits d'acces 
autorises . 

10 Du point de vue de la securite, le fait de ne 

pas exprirner expliciternent des acces interdit risque 
d'accorder, par erreur, un acces illicite a un sujet. 

Les regies de controle d'acces selon la 
technique anterieure ne perrnettent d' exprirner que des 

15 droits d'acces positifs, c'est-a-dire des acces 
autorises et ne perrnettent pas de garantir qu'un 
sujet donne ne possede pas un droit d'acces sur un 
objet donne, ou ne peut acquerir de raaniere indirecte 
le droit d'acces de par 1 ' appartenance a un groupe 

20 qui possede ce droit d'acces. 

Dans un contexte de definition de droits d'acces 
par 1 ' approche de liste de controle d'acces, il est 
suppose que 1 ' on veuille donner un acces sur un objet 
sensible a tous les sujets d ' un groupe sauf un, note 

25 S. En presence que de droits positifs, il faut 
enoncer expliciternent 1' acces pour chaque membre du 
groupe excepte le sujet S. 

Selon un autre exemple, 1' objet Fl represente 
une donnee sensible d'une application, telle qu 1 une 

30 cle de chiffrement, pour laquelle le sujet SI a des 
droits de lecture, d'ecriture et d 1 enregistrement 
exprimes sous forme de capacite. Le sujet S2 n'a 
aucun droit sur 1' objet Fl . Les droits d'acces 
positifs sont definis par des capacites 

35 respectivement associees aux sujets. Comme deja dit, 
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une specificite des capacit^s est la possibility de 
transferer des droits d'acces d'un sujet a un autre. 
Toutefois, avec cette definition de droits d'acces 
positifs, il est impossible de verifier qu'un sujet 
5 non autorise a acceder a un objet donne ne peut 
acquerir la capacite permettant d 1 outrepasser cette 
interdiction. L 1 incoherence de droit d'acces a un 
meme objet par un sujet n'est pas verifiee. Ainsi, en 
presence que de droits positifs, il est complexe de 
10 s' assurer que le sujet S2 n f a pas acces a 1' objet Fl 
apres un transfert de capacite du sujet SI vers le 
sujet S2. 

D'une maniere plus generale, lors de la 
definition ou la suppression ou la modification de 
15 droit d'acces ou de sujets se pose le probleme de la 
coherence de nouveaux droits d'acces vis a vis de 
droits prealables. 

L'objectif principal de la presente invention 
20 est de remedier aux inconvenients de la definition 
des droits d'acces positifs selon la technique 
anterieure, de maniere a specifier explicitement des 
acces interdits a des objets par des sujets aussi 
bien dans les listes de controle d'acces que dans les 
25 capacites . 

Pour atteindre cet object if, un procede pour 
controler des acces de premiers elements a des 
deuxiemes elements dans un moyen de traitement de 

30 donnees, est caracterise par un enregistrement dans 
le moyen de traitement d ' indicateurs d 1 autorisation 
ayant chacun un premier etat pour autoriser 
explicitement un acces au moins d'un premier element 
a un deuxieme element et un deuxieme etat pour ne pas 

35 autoriser ledit acces, et d' indicateurs 
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d' interdiction ayant le premier etat pour interdire 
explicitement un acces au moins d'un premier element 
a un deuxieme element et le deuxieme etat pour ne pas 
interdire ledit acces, 1' acces etant autorise ou 
interdit apres une analyse conjointe des indicateurs 
d'autorisation et d' interdiction relatifs a 1' acces. 

Comme on le verra dans la suite, les premiers 
elements sont par exemple des sujets tels que des 
utilisateurs, et les deuxiemes elements sont par 
exemple des objets, tels que des applications, dans 
une carte a puce multi-applicative constituant le 
moyen de traitement de donnees. 

En ce qui concerne les listes de controle 
d' acces, c'est-a-dire pour donner 1' acces d'un 
premier element parmi plusieurs premiers elements 
d'un ensemble a un deuxieme element, le procede 
comprend les etapes de : 

dresser une premiere liste de premiers 
elements auquel 1' acces au deuxieme element est 
autorise et une deuxieme liste de premiers elements 
auquel 1' acces aux deuxiemes elements est interdit, 

mettre respectivement au premier etat 
l 1 indicateur d'un premier element des premiere et 
deuxieme listes lorsque le premier element est 
authentifie et au deuxieme etat lorsque le premier 
element n'est pas authentifie, 

evaluer un indicateur d ' autorisation en 
fonction des indicateurs des elements dans la 
premiere liste et un indicateur d 1 interdiction en 
fonction des indicateurs des elements dans la 
deuxieme liste, et 

- n'autoriser 1 1 acces du premier element au 
deuxieme element que lorsque les indicateurs 
d' autorisation et d ' interdiction sont respectivement 
au premier etat et au deuxieme etat, et n ? interdire 
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l'acces du premier element au deuxieme element que 
lorsque les indicateurs d'autorisation et 
d ! interdiction sont respectivement au deuxieme etat 
et au premier etat* 
5 L' introduction de droit d'acces negatif dans les 

listes de controle d'acces selon 1' invent ion permet 
de specifier explicitement qu'un sujet donne n'est 
pas autorise a acceder a un objet donne. II devient 
ainsi aise de garantir que le sujet ne peut acceder a 

10 l f objet. Les droits d'acces negatif s selon 
1' invention sont individuels contrairement a 
1 1 interdiction d'acces de tous les sujets a un objet 
selon la technique anterieure. 

Lorsque les indicateurs d'autorisation et 

15 d 1 interdiction sont tous deux au deuxieme etat, 
l'acces peut etre par defaut autorise ou interdit. 
Dans ce cas, une erreur de completude peut etre 
signalee. A contrario, lorsque les indicateurs 
d 1 autorisation et d ' interdiction sont tous deux au 

20 premier etat, l'acces peut etre par priorite autorise 
ou interdit. Dans ce cas, une erreur de consistance 
peut etre signalee. 

L ! invention reprend le concept de groupe de 
premier element si bien que des groupes sont compris 

25 dans les premiere et deuxieme listes. Chaque groupe 
est considere comme authentifie lorsque 1 1 un des 
elements du groupe est authentifie. L'indicateur d ' un 
groupe contenant un element authentifie est alors mis 
au premier etat avant d'evaluer les indicateurs des 

30 listes. 

L' invention cree un concept d ' association de 
premier element. Dans ce cas, les premiere et 
deuxieme listes comprennent des associations de 
premier element auxquelles des indicateurs 

35 d' association correspondent pour autoriser ou 
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interdire I'acc&s de 1 1 association au deuxieme 
element. Chaque association est consideree comme 
authentifiee lorsque tous les membres de 
1 1 association sont authentif ies . L ! indicateur d 1 une 
5 association contenant un element authentifie est mis 
egal au produit des indicateurs des membres de 
1 1 association avant d'evaluer les indicateurs des 
listes . 

De preference, au moins un membre dans une 
10 association dans l'une des deux listes est un groupe. 
Lorsque l'un des elements du groupe est authentifie, 
1 1 indicateur du groupe dans 1 1 association est mis 
egal au premier etat avant d'evaluer les indicateurs 
des listes. 

15 Une premiere association peut ainsi associer, en 

tant que membres, au moins un premier element a un 
groupe dans l'une des deux listes, ou au moins un 
premier element a un autre premier element dans l'une 
des deux listes, ou au moins un groupe a un autre 

20 groupe dans l'une des deux listes. 

En ce qui concerne les capacites, a chaque 
premier element peut etre associe un ensemble de 
couples d ? indicateur d ' autorisation et d' indicateur 

25 d ' interdiction respect ivement pour specifier des 
droits d' acces du premier element afin de n'autoriser 
et d' interdire des acces du premier element a 
plusieurs actions relatives a un deuxieme element. Le 
procede comprend alors les etapes de : 

30 - dresser une liste de droits d 1 autorisation et 

d 1 interdiction et leur faire correspondre a chacun un 
couple d 1 indicateur d 1 autorisation et d x indicateur 
d 1 interdiction en les mettant respect ivement aux 
premier et deuxieme etats pour une autorisation 
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d'acces et aux deuxieme et premier etats pour une 
interdiction d'acces, et 

- n'autoriser le premier element a un droit 
d'acces sur une action predeterminee relative au 
5 deuxieme element que lorsque les indicateurs 
d 1 autorisation et d 1 interdiction pour ce droit 
d'acces sont respectivement aux premier et deuxieme 
etats, et n'interdire le droit d'acces a ladite 
action que lorsque les indicateurs d ' autorisation et 

10 d 1 interdiction sont respectivement aux deuxieme et 
premier etats. 

L' introduction de droit d'acces negatif dans les 
capacites selon 1* invention permet de revoquer un 
droit d'acces pour un sujet donne, en donnant la 

15 possibility de specifier explicitement les 
interdictions d'acces d'un sujet. On garantit ainsi 
qu'un sujet donne ne peut acquerir la capacite lui 
permettant d'acceder a un objet determine. Plus 
precisement, une capacite negative permet de 

20 specifier qu'un sujet donne ne peut acquerir le droit 
d'acces positif correspondant. 

La capacite negative peut egalement etre 
utilisee pour revoquer temporairement un droit 
d'acces. En particulier, conformement au principe du 

25 moindre privilege, selon lequel un sujet n'acquiert 
un droit d'acces que lorsqu'il a besoin de ce droit, 
il est judicieux de temporairement revoquer un droit 
d'acces d'un sujet, par exemple lorsque ce sujet 
acquiert par ailleurs un autre droit d'acces 

30 incompatible au regard de la securite du moyen de 
traitement de donnees. 

Selon une autre caracteristique de 1' invention, 
comme pour les listes de controle d^acces, 
1 ' incompatibility entre les etats des deux 

35 indicateurs du couple associe a un premier element 
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est verifie a chaque demande d'acces du premier 
element a un deiixieme element. Lorsque les 
indicateurs d 1 autorisation et d ? interdiction d'un 
couple sont tous deux au deuxieme etat, le droit 
5 d'acces peut etre par defaut autorise ou interdit ; 
une erreur de completude peut etre alors signalee. 
Lorsque les indicateurs d ' autorisation et 
d f interdiction sont tous deux au premier etat, le 
droit d'acces peut etre par priorite autorise ou 
10 interdit ; une erreur de consistance peut etre alors 
signalee. 

D'autres caracteristiques et avantages de la 
presente invention apparaitront plus clairement a la 
15 lecture de la description suivante de plusieurs 
realisations preferees de 1' invention en reference 
aux dessins annexes correspondants dans lesquels : 

- la figure 1 est un diagramme montrant une 
matrice de controle d'acces entre trois sujets et 

20 quatre objets selon la technique anterieure ; 

la figure 2 est un algorithme d'etape 
principale d'un procede de controle d'acces base sur 
au moins une liste de controle d'acces selon 
1' invention ; 

25 - la figure 3 est un algorithme 

d' authentif ication de sujet inclus dans le procede 
selon la figure 2 ; 

- la figure 4 est un algorithme de determination 
de couple d'indicateur d ' autorisation et d'indicateur 

30 d' interdiction associe a un sujet authentifie selon 
la figure 3 ; et 

- la figure 5 est un algorithme de controle 
d'acces relatif a au moins une capacite d'acces selon 
1 1 invention . 



35 
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En reference a la figure 2, un procede base sur 
des listes de controle d'acces ACL pour contrdler des 
acces de premiers elements, tels que des sujets, a 
des deuxiemes elements, tels que des objets dans un 
5 moyen de traitement de donnees, tel que le 
microcontroleur d'une carte a puce, comprend 
principalement des etapes ET1 a ET5 en vue de 
determiner un indicateur d 1 autorisation ou de droit 
positif pour autoriser un sujet determine a acceder a 

10 un objet donne, et complementairement un indicateur 
d 1 interdiction ou de droit negatif pour interdire le 
sujet determine a acceder a 1 T objet. Par souci de 
simplif ication, on designe par "acces" a 1' objet 
donne, un droit permettant d'accomplir au moins une 

15 action sur l 1 objet donne. 

A une premiere etape initiale ET1, un ensemble 
de sujet ES comprenant U sujets SI, ... Su, . . . SU 
avec 1 < u < U est defini. 

20 Selon 1* invention, au concept sujet est 

egalement associe un concept de groupe de sujet selon 
lequel un groupe est autorise a acceder a un objet 
des que 1 1 un des sujets inclus dans le groupe est 
autorise a acceder a 1' objet ; tous les droits 

25 accordes a un groupe sont accordes d 1 office a chaque 
element appartement au groupe. L r etape ET1 definit 
egalement un ensemble EG de groupes Gl, ... Gv, ... 
GV avec 1 < v < V. Chaque groupe contient au moins 
deux sujets de 1 1 ensemble ES, et plusieurs groupes 

30 peuvent avoir en commun des sujets. 

Un sujet ou un groupe donne peut etre associe a 
un autre sujet ou un autre groupe. L r etape ET1 
definit egalement un ensemble EAS d ' associations 
AS1, . . . ASw, . . . ASW avec 1 < w ^ W. Une association 

35 ASw contient au moins deux membres, soit deux sujets 
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ou deux groupes, soit un sujet et un groupe. Un 
membre ME j d'une association ASw, qu'il soit sujet 
individuel ou sujet inclus dans au moins un groupe, 
est autorise a acceder a un objet donnee Ob que 
5 lorsqu'a la fois tous les membres de 1 1 association 
sont autorises a acceder a 1' objet donne . 

Enfin 1 1 etape ET1 definit un ensemble EO 
d l objets 01, ... Ob, ... OB avec 1 < b < B. Des 
sujets predetermines peuvent demander d 1 acceder a 

10 chacun des objets & 1' etape suivante. 

L 1 etape suivante ET2 definit les conditions 
d'acces aux objets. A titre d'exemple, on se referera 
dans la suite a une liste de controle d'acces, c'est- 
a-dire aux conditions d'acces de sujets a un objet 

15 donne quelconque Ob de l f ensemble EO, les etapes ET2 
a ET5 etant analogues quel que soit 1 ! objet* 

A 1 ! etape ET2, deux listes A et I sont dressees, 
c'est-a-dire recuperees ou creees, et enregistrees 
dans le microcontroleur . La premiere liste A contient 

20 des sujets autorises individuellement Sm, des groupes 
autorises de sujet Gn et des associations autorisees 
ASx qui sont autorises a acceder a 1' element Ob, avec 
1 < m < M < U, l<n<N<Vetl<x<X<W. La 
deuxieme liste dressee I contient des sujets 

25 interdits individuellement Sp, des groupes interdits 
de sujet Gq et des associations interdites ASy par 
lesquels l'acces au deuxieme element Ob est interdit, 
avec 1 < p < P < U, l<q<Q<Vetl<y<Y<W. 
Ainsi, dans une liste A ou I, un sujet Sm ou Sp y est 

30 inclus a titre individuel, ou est inclus dans un 
groupe Gn ou Gq, ou bien encore est associe a un 
autre sujet ou a un groupe dans une association ASx 
ou ASy, L'appartenance d'un sujet ou d 1 un groupe 
donne a une association ASw implique que 

35 1 1 autorisation d'acces du sujet Su a l 1 objet Ob ne 
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peut etre accordee que lorsque tous les raembres 
ME1, . . . Mej,... MEj de 1 1 association, y compris le 
sujet ou le groupe donne, sont authentif ies . 

De maniere plus generale, chacune des premiere 
5 et deuxieme listes A et I contient au moins un sujet 
et/ou un groupe et/ou une association, chaque groupe 
contient au moins un sujet, et chaque association 
contient au moins deux membres. 

10 Les etapes suivantes ET3, ET4 et ET5 sont des 

etapes iteratives au cours d'une session avec la 
carte a puce. Au debut d'une session, tous les 
indicateurs de sujet BSu, de groupe BGv et 
dissociation BASw definis ci-apres sont mis a zero. 

15 Les deux etapes principales ET3 et ET4 

concernent ainsi au cours d'une session 
1 1 authentif ication d'un sujet quelconque Su demandant 
l'acces a 1'objet donne Ob et la determination des 
etats d'un indicateur d 1 autorisation BA et d'un 

20 indicateur d 1 interdiction BI de maniere a valider 
1 1 autorisation ou 1 1 interdiction d'acces du sujet Su 
a 1'objet Ob. Au cours du deroulement de ces deux 
etapes, les indicateurs des sujets, groupes et 
associations qui ont deja ete determines et qui ne 

25 sont pas relatifs au sujet Su demeurent inchanges. 

La derniere etape ET5 marque la reiteration pour 
un prochain sujet Su souhaitant acceder a 1'objet Ob, 
quels que soient les resultats de 1 ' authentif ication 
precedente et de la determination precedente. 

30 Dans la suite, un indicateur BSu d'un sujet Su, 

un indicateur BGv d'un groupe Gv, un indicateur de 
membre d ' association BME j , un indicateur 

d 1 association BASw et des indicateurs d ' autorisation 
et d' interdiction BA et BI de l'objet Ob sont 
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supposes etre des bits pouvant etre a 1 ' un de premier 
etat binaire "1" et deuxieme etat binaire "0". 

Un indicateur de groupe BGn ou BGq a I'etat "0" 
signifie que tous les indicateurs des sujets inclus 
5 dans ce groupe sont a 1 ' etat "0", alors qu'un 
indicateur BGn ou BGq d'un groupe a I'etat "1" 
signifie que 1 1 indicateur d'au moins 1 1 un des sujets 
appartenant a ce groupe est a I'etat "1", 
L f indicateur d'une association BASw a I'etat "0" 

10 signifie qu'au moins un indicateur BMEj d f un membre 
MEj de 1 ' association est a I'etat "0", alors qu'un 
indicateur BASw a I'etat "1" signifie que tous les 
indicateurs des membres de 1 f association sont a 
I'etat "1". Le concept de groupe correspond ainsi a 

15 1'operateur OU logique, et le concept d ' association 
correspond a 1'operateur ET logique. 

En reference a la figure 3, l'etape principale 
d' authentif ication ET3 comprend des etapes ET31 a 
20 ET36. 

La carte a puce procede a 1 ' authentif ication 
proprement dite du sujet Su a l'etape suivante ET31. 
Par exemple, 1 ' authentif ication consiste a 
reconnaitre un mot de passe ou un code secret 

25 transmis par le sujet Su au microcontrdleur de la 
carte a puce qui le traite selon un algorithme 
d ' authentif ication qui produit un resultat a comparer 
a des mots ou codes prememorises relatifs a des 
sujets inclus dans les listes A et I associees a 

30 l'objet Ob. Si le sujet Su n'est pas authentifie, le 
procede passe a l'etape ET5. En revanche, si le sujet 
Su est authentifie, 1 1 indicateur BSu est enregistre a 
I'etat "1", a l'etape ET32. 

Aux etapes suivantes ET33 et ET35, le procede 

35 est dirige vers l'etape de determination ET4 si 
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l f element Su n 1 appartient a aucun des groupes Gn ou 
Gq ou n'est membre d'aucune association ASx ou ASy. 

Dans le premier cas contraire, si a 1 1 etape ET33 
le microcontroleur de la carte a puce constate 
5 1 1 appartenance du sujet Su a au moins un groupe Gn ou 
Gq, les indicateurs BGn, BGq des groupes Gn, Gq 
auxquels appartient le sujet Su, ainsi que les 
indicateurs BMEj de ces groupes en tant que membres 
d'une association ASx ou ASy, sont mis a "1" a 
10 1' etape ET34, qui est suivie par 1' etape de detection 
d f association ET35 . 

Si a l 1 etape ET35, le microcontroleur de la 
carte a puce constate que le sujet Su est un membre 
d'une ou plusieurs associations ASx ou ASy, le 
15 microcontroleur evalue a 1 * etape ET36 1 1 indicateur 
BASx ou BASy de chacune de ces associations egal au 
produit des indicateurs BEMj ou BEMk des membres MEj 
ou MEk de 1 1 association : 

j = J k = K 

20 BASx - EI BEMj ; BASy = Yl BEMk 

j=l k=l 

Dans ces relations, BMEj ou BEMk peut etre 
1* indicateur BSu du sujet donne Su, ou 1 ' indicateur 
BSm ou BSp d'un sujet-membre Sm dans la liste A ou Sp 
25 dans la liste I, ou encore 1 1 indiateur BGn ou BGq 
d'un groupe-membre Gn dans la liste A ou Gq dans la 
liste I. 

Comme apres 1 T etape ET35, le procede passe apres 
1' etape ET36 a 1 ? etape ET4 . 

30 

Comme montre a la figure 4, l 1 etape de 
determination ET4 debute par une etape ET40 pour 
evaluer et enregistrer 1' indicateur d 1 autorisation BA 
et 1 1 indicateur d 1 interdiction BI correspondant au 
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sujet Su relativement a l'acces a l'objet Ob, selon 

les relations binaires suivantes : 

m = M n = N x=X 

BA « Z BSn + Z BGn + Z BASx 
m= 1 n = 1 x = 1 

p = P q = Q y = Y 

BI « Z BSp + Z BGq + Z BASy 
p = 1 q = l y = l 

Dans les relations precedentes, les indicateurs 
relatifs au sujet Su, a des groupes incluant le sujet 
Su, et a des sujets et/ou groupes associes au sujet 
Su ont des etats determines respectivement aux etapes 
ET34 et ET36. 

Si le sujet Su appartient a plusieurs groupes 
et/ou est membre de plusieurs associations, plusieurs 
bits BGn et/ou BGq et/ou BASx et/ou BASy peuvent etre 
a l'etat "1". 

Puis aux etapes suivantes, le couple (BA, BI) 
est analyse de maniere a autoriser ou interdire 
l'acces du sujet Su a l'objet Ob et le cas echeant 
signaler des erreurs dans les listes de sujet A et I 
associees a l'objet Ob. 

A l'etape ET41, le couple (BA, BI) est compare 
au couple (1, 0). Si 1'un des indicateurs 
d 1 autorisation BA est a 1 ' e t a t "1" et 1 ' indicateur 
d' interdiction BI est a l'etat "0", le 
microcontroleur de la carte a puce autorise le sujet 
Su a acceder a l'objet Ob a l'etape ET42. En 
revanche, si apres l'etape ET41, le bit 
d' autorisation BA est a l'etat "0" et le bit 
d 1 interdiction BI est a l'etat !, 1" a l'etape ET43, le 
microcontroleur de la carte a puce interdit le sujet 
Su d' acceder a l'objet Ob a l'etape ET44. 

Si apres les etapes ET41 et ET43, le couple 
d' indicateurs (BA, BI) est different des couples (1, 
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0) et (0, 1), c'est-a-dire si les indicateurs BA et 
BI sont au meme etat, le microcontroleur de la carte 
a puce verifie aux etapes suivantes ET45 et ET46 si 
le couple d' indicateurs (BA, BI) est egale a 1 1 un des 
5 deux couples (0, 0) et (1, 1) . 

Si a 1 ' etape ET45, les deux indicateurs d'etat 
BA et BI sont a l'etat "0", ceci signifie que les 
droits d'acces du sujet Su a l'objet Ob sont 
incomplets ; en d'autres termes, les droits d'acces 

10 de l'objet Ob n' off rent pas de completude au sujet Su 
puisqu'un sujet ne peut pas a la fois ne pas etre 
autorise explicitement a acceder a l'objet Ob et ne 
pas etre interdit explicitement a acceder a l'objet 
Ob. Cet etat de non-completude peut eventuellement 

15 etre signale par le microcontroleur de la carte a 
puce sous la forme d'une erreur affichee sur l'ecran 
d'un terminal accueillant la carte a puce, au 
developpeur ou a la personne gerant les acces aux 
objets, a une etape ET49. Une regie par defaut, 

20 c'est-a-dire une autorisation d'acces par exemple, ou 
bien une interdiction d'acces du sujet Su a l'objet 
0b s' applique. 

Lorsque les indicateurs BA et BI sont tous deux 
a l'etat "1" a 1 ' etape ET46, ceci signifie que les 

25 listes des sujets A et I relatives a l'objet Ob sont 
inconsistantes, comme signale a l r etape ET48. La 
consistance des listes A et I garantit que pour tout 
sujet et tout objet, si plusieurs droits d'acces d'un 
sujet a un objet sont definis, ils specifient tous le 

30 meme type de droit positif ou negatif. En d'autres 
termes, un sujet donne ne peut a la fois etre 
autorise a acceder a un objet donne et etre interdit 
d'acces a cet objet. Une regie de priorite 
selectionnant automatiquement 1 1 un predetermine des 

35 droits d' autorisation et d 1 interdiction d'acces au 
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sujet Su sur l'objet Ob s' applique. Comme apres 
1' etape ET47, l f etape ET48 peut etre suivie par 
1' etape ET49 signalant une incoherence de la 
composition des listes A et I associees a l'objet Ob 
5 dans les listes A et I . 

Finalement apres 1' etape ET4 2, ou ET4 4, ou ET4 9, 
le procede passe a l 1 etape ET5. 

Les exemples suivants illustrent divers chemins 
10 dans 1 ? algorithme de procede de controle d'acces 
montre aux figures 3 et 4, 

Premier exemple : 
Les ensembles 

15 ES = {30,31,32,53,54,35,36,57,58,39,310,311,312} 

et EG = {Gl, G2} sont definis avec les conditions 
d'acces suivantes sur l'objet donne Ob aux etapes ET1 
et ET2 : 

A - {SI, S4, S6, G2}, 
20 I = {S5, S8, S9, Gl}, 

avec Gl - {S2, S3, S10, Sll}, 
et G2 = {S7, S12, SO} . 

Selon un premier cas, le sujet S6 appartenant a 
la liste A demande a acceder a l'objet Ob, Apres une 
25 authentif ication de l'objet S6 a 1 1 etape ET3, soit 
BS6 = 1 et BS1 - BS4 = BG2 = BS5 = BS8 - BS9 = BG1 - 
0, les indicateurs BA et BI sont determines a 1 ? etape 
ET4 0 : 

BA - BS1 + BS4 4- BS6 4- BG2 = 0 + 0 + 1 + 0 = 1 
30 BI - BS5 + BS8 + BS9 + BG1 =0+0+0+0-0 

ce qui autorise 1'acces du sujet S6 a l'objet Ob 
selon les etapes ET41 et ET42, puisque : 
(BA, BI) = (1, 0) . 

Selon un deuxieme cas, le sujet S8 appartenant a 
35 la liste I souhaite acceder a l'objet Ob. Apres une 
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authentification du sujet S8, soit BS8 » 1 et BS1 = 
BS4 - BS6 = BG2 - BS5 = BS9 « BG1 - 0, les 
indicateurs BA et BI sont determines : 

BA - BS1 + BS4 + BS6 + BG2 =0+0+0+0=0 
5 BI - BS5 + BS8 + BS9 + BG1 =0+1+0+0=1, 

ce qui interdit 1' acces du sujet S8 a l'objet Ob 
selon les etapes ET43 et ET44, puisque : 
(BA, BI) - (0, 1) . 

Selon un troisieme cas, le sujet S7 appartenant 
10 au groupe G2 dans la liste A desire acceder a l'objet 
Ob. Apres une authentification reussie du sujet S7, 
soit BS7 = BG2 - 1 et BS1 = BS4 = BS6 = BS5 = BS8 = 
BS9 = BG1 = 0, les indicateurs BA et BI de l'objet Ob 
sont determines : 
15 BA = BS1 + BS4 + BS6 + BG2 =0+0+0+1-1, 

BI = BS5 + BS8 + BS9 + BG1 =0+0+0+0=0, 
ce qui autorise 1 ' acces du sujet S7 inclus dans le 
groupe G2 a l'objet Ob, puisque : 
(BA, BI) = (1, 0) . 

20 

Deuxieme exemple : 

Les ensembles ES = {SI, S4, S5, S6, S7, S8, S9} 
et EG = {Gl, G2} sont definis avec les conditions 
d' acces suivantes sur l'objet Ob, aux etapes ET1 et 
25 ET2 : 

A = {SI, S4, S6, AS1}, 
I = {S5, S8, S9, Gl}, 
avec Gl = {S3, S10, Sll}, 

G2 = {S2, S12, SO}, et 
30 AS1 « {G2, S7}. 

Dans un premier cas de ce deuxieme exemple, le 
sujet S7 est membre d'une association AS1 comprenant 
le groupe G2 et souhaite acceder a l'objet Ob, apres 
une authentification prealable d'au moins 1 1 un des 
35 elements appartenant au groupe G2, ce qui impose BG2 
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= 1. Apres une authentif ication reussie du sujet S7, 
les indicateurs d 1 elements de groupes et 
d* association sont les suivants : 

BG2 = BS7 = 1, 

BASl =1x1=1, et 

BS1 = BS4 = BS6 = BS5 - BS8 = BS9 = BG1 = 0. 

Les indicateurs d 1 autorisation et d f interdiction 
BA et BI sont ensuite evalues a 1 T etape ET40 : 
BA = BS1 + BS4 + BS6 + BASl =0+0+0+1=1 
BI = BS5 + BS8 + BS9 + BGl =0+0+0+0=0. 

Puisque le couple (BA, BI) est egal a (1, 0), le 
sujet S7 est autorise a acceder a I'objet Ob. 

Selon un deuxieme cas du deuxieme exemple, le 
sujet S7 associe au groupe G2 dans 1 1 association AS1 
souhaite encore acceder a l T objet Ob, raais aucun 
element du groupe G2 n ! a ete prealablement 
authentif ie, soit apres 1 1 etape d 1 authentif ication 
ET3 du sujet S7, les etats suivants des indicateurs 
de sujets et de groupes : 

BG2 = 0, BS7 = 1, 

BASl =0xl=0 r et 

BS1 = BS4 = BS6 = BS5 = BS8 = BS9 = BGl = 0. 

Les indicateurs d 1 autorisation et d 1 interdiction 
BA et BI sont ensuite evalues a 1 1 etape ET40 : 
BA = BS1 + BS4 + BS6 + BASl =0+0+0+0-0, 
BI = BS5 + BS8 + BS9 + BGl =0+0+0+0=0. 

Les deux indicateurs BA et BI etant a I'etat 
"0", une erreur de completude est eventuellement 
signalee, la regie par defaut s f applique et l'acces 
du sujet S7 a l ! objet Ob est interdit selon les 
etapes ET45 et ET47. 

Troisieme exemple : 

L'ensemble de sujet ES = {SI, S4, S5, S6, S8, 
S9} et l'ensemble de groupe EG = {Gl, G2 } sont 
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definis avec les conditions d'acces suivantes sur 
l 1 ob jet Ob aux etapes ET1 et ET2 : 
A - {SI, S4, 36, AS1}, 
I « {S5, S8, S9, Gl}, 
5 avec Gl = {S3, S7, S10, Sll}, 

G2 = {S2, S12, SI}, et 
AS1 - {G2, S7} . 
Dans cet exemple, le sujet S7 appartenant au 
groupe Gl a besoin d'acceder a l'objet Ob, et le 
10 groupe G2 associe au sujet S7 dans 1 • association AS1 
a ete prealablement authentifie, par exemple par 
authentif ication prealable du sujet S2, soit BS2 = 
BG2 = 1. Apres authentif ication du sujet S7, les 
indicateurs de sujets et de groupes sont les suivants 
15 : 

BS2 = BG2 = BS7 = BG1 = 1, 
BAS1 =1x1=1, et 

BS1 - BS4 = BS6 - BS5 - BS8 - BS9 = 0. 

Les indicateurs d 1 autorisation et d 1 interdiction 
20 sont ensuite evalues a l'etape ET40 : 

BA = BS1 + BS4 + BS6 + BAS1 =0+0+0+1=1 
BI = BS5 + BS8 + BS9 + BG1 =0+0+0+1=1, 

La regie de priorite s 1 applique puisqu'il y a 
une inconsistance resultant de 1 1 etat du couple (BA, 
25 BI) = (1, 1) selon les etapes ET46 et ET48. Si la 
regie de priorite est par exemple negative, alors 
l'acces du sujet S7 a l T objet Ob est interdit, 

Quatrieme exemple : 
30 L'ensemble de sujet ES = {SI, S4, S5, S6, S8, 

S9} et l 1 ensemble de groupe EG = {Gl, G2 } sont 
definis avec les conditions d'acces suivantes sur 
I'objet Ob : 

A = {SI, S4, S6, AS1}, 
35 I {S5, S8, S9, Gl, SI}, 
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avec Gl = {S3, S7, S10, Sll}, 

G2 = {S2, S12}, et 

AS1 = {G2, S7} . 
Si le sujet SI souhaite acceder a l'objet Ob, le 
sujet SI est d'abord authentifie a 1 ' etape ET3, soit 

BS1 - 1 et BS4 - BS6 - BG2 = BS7 = BAS1 = BS5 = 
BS8 = BS9 « BG1 = 0. 

Les indicateurs BA et BI sont evalues a 1 ' etape 
ET4 0 : 

BA = BS1 + BS4 + BS6 + BAS1 
= 1 + 0 + 0 + 0x0 = 1, 
BI = BS5 + BS8 + BS9 + BG1 + BS1 

= 0 + 0 + 0 + 0 + 1 = 1. 
La encore une inconsistance peut eventuellement 
etre signalee et la regie cie priorite s ! applique a 
1* etape ET4 8. Le sujet SI n'a pas acces a l'objet Ob 
puisque les deux indicateurs BA et BI sont a 1 ' etat 
"1" a l'etape ET4 6. 

Selon une deuxieme realisation, le procede de 
controle d 1 acces concerne au moins une capacite 
d 1 acces d'un sujet donne Su sur au moins un objet Ob. 
La. capacite du sujet Su est definie par une reference 
de 1 T objet, telle que son nom, et par un ensemble de 
privileges ou de droits qui definissent des actions 
pouvant etre ou ne pouvant pas etre accomplies par le 
sujet sur l'objet. Pour introduire des droits 
negatifs, a chaque droit positif correspond la 
negation de ce droit positif. En d'autres termes, a 
une autorisation en lecture correspond une 
interdiction en lecture, a une autorisation 
d l execution correspond une interdiction d 1 execution, 
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En reference a la figure 5, le procede de 
controle d'acces relatif a une capacite du sujet Su 
sur l'objet Ob comporte des etapes ET2a a ET5a . Au 
cours d'une etape preliminaire ET2a, un ensemble de 
5 droits positifs et negatifs {Dl, . Dk, ... DK} sont 
definis par correspondance a chacun des droits, tels 
que ecriture, execution, lecture, etc..., d'un couple 
d' indicateurs d 1 autorisation et d 1 interdiction (BAk, 
BIk) . Si le droit est positif, l'indicateur 

10 d' autorisation BAk est enregistre a un premier etat 
logique "1" et I'indicateur d ■ interdiction BIk est 
enregistre a l'etat logique "0". En revanche si le 
droit est negatif, par exemple si le sujet Su n'est 
pas autorise a acceder a une lecture du programme Ob, 

15 I'indicateur d 1 autorisation BAk est enregistre au 
deuxieme etat logique "0" et I'indicateur 
d 1 interdiction BIk est enregistre au premier etat 
logique "1". 

Puis une etape ET31a analogue a 1 1 etape ET31 

20 (figure 3) est executee au cours de laquelle le sujet 
Su est authentifie par le microcontroleur de la carte 
a puce, de maniere a proceder a la determination de 
la capacite (BAk, BIk) du sujet Su liee au droit Dk 
dans l'objet Ob a partir de 1' etape ET50. 

25 Si a 1 ! etape suivante ET51 les indicateurs BAk 

et BIk sont respectivement egaux a "1" et "0", 
1' etape ET52 donne l'acces du sujet Su au droit Dk 
dans l'objet Ob, c'est-a-dire 1 1 autorisation 
d'executer 1' action Dk sur l'objet Ob. Par contre, si 

30 les indicateurs BAk et BIk sont respectivement egaux 
a "0" et "1" a l'etape ET53, le droit Dk est refuse 
au sujet Su a l'etape ET54, 

D'une maniere analogue aux etapes ET4 5 a ET4 9, 
des etapes ET55 a ET59 detectent une erreur dans la 

35 liste des droits d'acces par le sujet Su a l'objet 
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Ob. Si a l'etape ET55 les deux indicateurs BAk et BIk 
sont a l'etat "0", I'etape ET57 detecte qu'il n'y a 
pas de completude dans la liste des droits d'acces et 
le microcontroleur applique une regie par defaut, 
5 c'est-a-dire soit 1 1 autorisation, soit 1 1 interdict ion 
du droit D et detecte une erreur a I'etape ET59. Si a 
I'etape ET56, les indicateurs BAk et BIk sont tous 
deux a l'etat "1", la liste des droits d'acces est 
inconsistante a l'etape ET58 ; le microcontroleur 

10 applique une regie de priorite en selectionnant l'une 
predetermines des autorisation et interdiction du 
droit Dk et detecte une erreur a l'etape ET59. 

Apres les etapes ET52, ET54 et ET59, le procede 
reitere a une etape. ET5a les etapes precedentes pour 

15 la capacite d'un autre sujet ou la capacite du sujet 
Su pour un objet autre que 1' objet Ob. 

Ainsi pour definir des droits positifs selon la 
technique anterieure, ainsi que des droits negatifs, 
1 ! invention associe a chaque droit un indicateur 

20 d' autorisation ou d 1 interdiction de ce droit et un 
indicateur contraire a ce droit et verifie la 
completude et la consistance de chaque couple 
d 1 indicateurs relatif a une action positive ou 
negative determinee, telle que ecriture, lecture, 

25 execution, sauvegarde, enregis trement autorise ou 
interdit . 

Selon une realisation plus complete, les figures 
2, 3 et 4 sont combinees avec la figure 5, c'est-a- 

30 dire les etapes ET2 et ET31 sont combinees 
respectivement avec les etapes ET2a et ET3 la , et les 
etapes ET50 a ET59 succedent a l'etape ET42 afin 
d'autoriser l'acces d'un sujet authentifie Su a des 
droits Dk relatifs a un objet Ob lorsque le couple 

35 d' indicateurs d ' autorisation d 1 interdiction (BA, BI) 
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est egal a (1, 0) et les couples d f indicateurs de 
droit (BAk, BIk) sont egaux a (1, 0) . 

A titre d'exemple, cinq droits d' acces sont 
5 prevus pour un objet Ob, tel qu'une application. Ces 
droits sont la lecture/non-lecture, 1 1 ecriture/non- 
ecriture, execution/non-execution, sauvegarde/non- 
sauvegarde, enregistreraent/non-enregistrement . 

II est suppose qu'un sujet Su presente la 
10 capacite suivante a 1 1 etape ET2a : 

{ BA1, . BAK ; BIA, . BIK} « {1, 0, 1, 0, 0 ; 0, 

1/ .0, 1, 1} 

ce qui signifie que le sujet Su est seulement 
autorise a acceder en lecture et en execution a 
15 I 1 objet Ob puisque BA1 = BA3 = "1" et qu'il lui est 
interdit d 1 acceder en ecriture, sauvegarde et 
enregistrement a 1' objet Ob puisque BI2 = BI4 = BIS = 
1. 

Par exemple si le sujet Su souhaite acceder a 
20 une lecture de l 1 objet Ob a 1 1 etape E31a, le 
rnicrocontroleur de la carte a puce constate a 1 T etape 
ET51 que le couple d 1 indicateurs (BA1, BI1) est egal 
a (1, 0) de maniere a autoriser a 1 1 etape ET52 la 
lecture de 1' objet Ob par le sujet Su. Par contre, si 
25 a une etape suivante ET31a le sujet Su demande un 
acces en ecriture de 1' objet Ob, le rnicrocontroleur 
refuse cet acces a l'etape ET54 puisqu'il constate 
que le couple d 1 indicateurs (BA2 , BI2) est egal a (0, 
1) a 1' etape ET53. 

30 
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RE VE N D I CAT I ON S 

1 - Procede pour controler des acces de premiers 
elements (Su) a des deuxiemes elements (Ob) dans un 
moyen de traitement de donnees, caracterise par un 
enregistrement (ET40) dans le moyen de traitement 
d* indicateurs d 1 autorisation (BAk) ayant chacun un 
premier etat pour autoriser explicitement un acces au 
moins d 1 un premier element (Su) a un deuxieme element 
(Ob) et un deuxieme etat pour ne pas autoriser ledit 
acces, et d 1 indicateurs d 1 interdiction (BIk) ayant 
chacun le premier etat pour interdire explicitement 
un acces au moins d'un premier element a un deuxieme 
element et le deuxieme etat pour ne pas interdire 
ledit acces, 1 1 acces etant autorise ou interdit apres 
une analyse (ET4) conjointe des indicateurs 
d 1 autorisation et d ' interdiction relatifs a l'acces 
par le moyen de traitement de donnees. 

2 - Procede conforme a la revendication 1, 
caracterise en ce que, pour donner l'acces d'un 
premier element (Su) parmi plusieurs elements d'un 
ensemble (ES) a un deuxieme element (Ob), il comprend 
les etapes de : 

dresser (ET2) une premiere liste (A) de 
premiers elements (Sm) - auquel l'acces au deuxieme 
element (Ob) est autorise et une deuxieme liste (I) 
de premiers elements (Sp) auquel l'acces aux 
deuxiemes elements est interdit, 

- mettre (ET32) respectivement au premier etat 
l'indicateur (BSu) d'un premier element des premiere 
et deuxieme listes lorsque le premier element est 
authentifie et au deuxieme etat lorsque le premier 
element n'est pas authentifie, 

- evaluer (ET40) un indicateur d 1 autorisation 
(BA) en fonction des indicateurs (BSm) des elements 
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dans la premiere liste et un indicateur 
d' interdiction (BI) en fonction des indicateurs (BSp) 
des elements dans la deuxieme liste, et 

- n'autoriser (ET41, ET42) l'acces du premier 
5 element (Su) au deuxieme element (Ob) que lorsque les 
indicateurs d 1 autorisation et d 1 interdict ion (BA, BI) 
sont respectivement au premier etat et au deuxieme 
etat, et n'interdire (ET43, ET44) I'acces du premier 
element au deuxieme element que lorsque les 
10 indicateurs d 1 autorisation et d 1 interdiction sont 
respectivement au deuxieme etat et au premier etat. 

3 - Precede conforme a la revendication 2, selon 
lequel lorsque les indicateurs d * autorisation et 

15 d 1 interdiction sont tous deux au deuxieme etat (ET4 5, 
ET47), l'acces est par defaut autorise ou interdit. 

4 - Procede conforme a la revendication 2 ou 3, 
selon lequel lorsque les indicateurs d 1 autorisation 

20 et d* interdiction (BA, BI) sont tous deux au premier 
etat (ET46, ET48), l'acces est par priorite autorise 
ou interdit. 

5 - Procede conforme a 1 1 une quelconque des 
25 revendications 2 a 4, selon lequel les premiere et 

deuxieme listes (A, I) comprennent des groupes de 
premier element (Gn, Gq) auxquels des indicateurs de 
groupe (BGn, BGq) correspondent pour autoriser ou 
interdire l'acces du groupe au deuxieme element (Ob), 
30 chaque groupe est considere comme authentifie lorsque 
1 1 un des elements du groupe est authentifie, et 
1' indicateur (BGn, BGq) d'un groupe contenant un 
element authentifie est mis (ET34) au premier etat 
avant d'evaluer (ET40) les indicateurs des listes. 
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6 - Procede conforme a l'une quelconque des 
revendications 2 a 5, selon lequel les premiere et 
deuxieme listes (A, I) comprennent des associations 
de premier element (ASx, ASy) auxquelles des 
indicateurs d 1 association (BASx, BASy) correspondent 
pour autoriser ou interdire l'acces de 1 1 association 
au deuxieme element (Ob) , chaque association est 
consideree comme authentifiee lorsque tous les 
membres (BEMj , BEMk) de 1 1 association sont 
authentifies, et l'indicateur (BASx, BASy) d f une 
association contenant un element authentifie est mis 
(ET34) egal au produit des indicateurs {BEMj, BEMk) 
des membres de 1 1 association avant d'evaluer (ET40) 
les indicateurs des listes. 

7 - Procede conforme a la revendication 6, selon 
lequel au moins un membre (ME j , MEk) dans une 
association (ASx, ASy) dans 1 1 une des deux listes (A, 
I) est un groupe (Gn, Gq) , et, lorsque 1 1 un des 
elements du groupe est authentifie, l ! indicateur 
(BGn, BGq) du groupe dans 1 1 association est mis 
(ET34) egal au premier etat avant d'evaluer (ET40) 
les indicateurs des listes. 

8 - Procede conforme a l'une quelconque des 
revendications 1 a 7, caracterise en ce que, pour 
donner des droits d'acces d'un premier element (Su) a 
plusieurs actions relatives a un deuxieme element 
(Ob) , il comprend les etapes de : 

dresser (ET2a) une liste de droits 
d'autorisation et d 1 interdict ion et leur faire 
correspondre a chacun un couple d'indicateur 
d 1 autorisation et d'indicateur d T interdiction (BAk, 
BIk) en les mettant respectivement aux premier et 
deuxieme etats pour une autorisation d'acces et aux 
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deuxieme et premier etats pour une interdiction 
d'acces, et 

- n'autoriser le premier element (Su) a un droit 
d'acces sur une action predetermines relative au 
5 deuxieme element (Ob) que lorsque les indicateurs 
d'autorisation et d ' interdiction (BAk, BIk) pour ce 
droit d'acces sont respectivement aux premier et 
deuxieme etats, et n'interdire le droit d'acces a 
ladite action que lorsque les indicateurs 
10 d'autorisation et d 1 interdiction sont respectivement 
aux deuxieme et premier etats. 

9 - Procede conforme a la revendication 8, selon 
lequel lorsque les indicateurs d'autorisation et 

15 d 1 interdiction d'un couple sont tous deux au deuxieme 
etat (ET55, ET57), le droit d'acces est par defaut 
autorise ou interdit. 

10 - Procede conforme a la revendication 8 ou 9, 
20 selon lequel lorsque les indicateurs d'autorisation 

et d 1 interdiction (BA, BI) sont tous deux au premier 
etat (ET56, ET58), le droit d'acces est par priorite 
autorise ou interdit. 
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